Не натится DNS трафик

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Степан
проходил мимо
Сообщения: 1
Зарегистрирован: 2014-10-29 20:20:38

Не натится DNS трафик

Непрочитанное сообщение Степан » 2014-10-29 20:35:50

Доброго времени суток!

Настраиваю для личных нужд OpenVPN + FreeBSD10 kernel NAT и столкнулся с проблемой, что не натится DNS трафик. Запросы на 8.8.8.8:53 отправляются с src адресом интерфейса tun:

Код: Выделить всё

tcpdump -n -i em0 dst port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 65535 bytes
capability mode sandbox enabled
17:10:45.667531 IP 172.17.0.6.53146 > 8.8.4.4.53: 26803+ A? www.youtube.com. (33)
17:10:46.769801 IP 172.17.0.6.53146 > 8.8.4.4.53: 26803+ A? www.youtube.com. (33)
17:10:47.870946 IP 172.17.0.6.53146 > 8.8.8.8.53: 26803+ A? www.youtube.com. (33)
17:10:50.968707 IP 172.17.0.6.53146 > 8.8.8.8.53: 26803+ A? www.youtube.com. (33)
17:10:54.044746 IP 172.17.0.6.53146 > 8.8.4.4.53: 26803+ A? www.youtube.com. (33)
17:10:57.169269 IP 172.17.0.6.53146 > 8.8.4.4.53: 26803+ A? www.youtube.com. (33)
17:11:00.268501 IP 172.17.0.6.53146 > 8.8.8.8.53: 26803+ A? www.youtube.com. (33)
17:11:09.368748 IP 172.17.0.6.53146 > 8.8.8.8.53: 26803+ A? www.youtube.com. (33)
Ответ, на 172.17.*.*, естественно, не приходит.

Если же DNS трафик клиента идёт не через VPN, то всё отлично натится, сайты открываются.

Правила ipfw просты (всё разрешено). Внешний IP сервера - y.y.y.y:

Код: Выделить всё

ipfw list
00801 allow tcp from x.x.x.x/24 to me dst-port 22 via em0
00810 deny ip from any to me dst-port 22 via em0
00820 allow ip from any to me dst-port 1194 in via em0
10001 deny ip from z.z.z.z/24 to me via em0
32001 allow udp from any to y.y.y.y.via em0
32050 nat 1 log logamount 1000 ip from any to any via em0
32200 allow log logamount 1000 ip from any to any via tun0
32201 allow log logamount 1000 ip from any to any via tun1
65535 allow ip from any to any
Скрипт:

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw -q"
#######################################
#Config
lo0="lo0"
eth0="em0"
tun0="tun0"
tun1="tun1"
#######################################
#Clean all the rules
${fwcmd} -f flush
#######################################
#SSH rules
${fwcmd} add 00801 allow tcp from x.x.x.x/24 to me 22 via ${eth0}
${fwcmd} add 00810 deny all from any to me 22 via ${eth0}
#######################################
#OpenVPN
${fwcmd} add 00820 allow all from any to me 1194 in via ${eth0}
#######################################
#Black list
${fwcmd} add 10001 deny all from z.z.z.z/24 to me via ${eth0}
#######################################
#NAT
${fwcmd} nat 1 config log if ${eth0} reset same_ports deny_in
${fwcmd} add 32001 allow udp from any to y.y.y.y via ${eth0}
${fwcmd} add 32050 nat 1 log all from any to any via ${eth0}
${fwcmd} add 32200 allow log all from any to any via ${tun0}
${fwcmd} add 32201 allow log all from any to any via ${tun1}
#######################################
Подскажите, как заставить слать DNS запросы с src ip y.y.y.y?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: Не натится DNS трафик

Непрочитанное сообщение Гость » 2014-10-31 11:16:42

32001 правило не правильное. Убрать.